Бесплатно Экспресс-аудит сайта:

23.09.2020

Группировка Rampant Kitten шесть лет атаковала иранские организации

Исследователи безопасности из Check Point Research обнаружили широкомасштабную кампанию по слежке, которую организовала иранская киберпреступная группировка Rampant Kitten.

Шпионская кампания нацелена на данные персональных устройств жертв, учетные данные браузера и файлы приложения для обмена сообщениями Telegram. Одним из примечательных инструментов в арсенале группировки является вредоносная программа для Android, способная собирать все коды безопасности для двухфакторной аутентификацией (2FA), отправленные на устройства, похищать учетные данные Telegram и запускать фишинговые атаки на учетные записи Google.

Как сообщили эксперты, Rampant Kitten на протяжении как минимум шести лет атаковала иранские организации и осуществляла слежку за ними. Жертвами преступников стали иранские участники сопротивления и организации, выступающие против правительственного режима, включая Ассоциацию семей лагеря Ашраф и жителей Свободы (AFALR), а также Азербайджанскую национальную организацию сопротивления.

Преступники использовали широкий спектр инструментов для проведения своих атак, в том числе четыре варианта инфостилеров для кражи файлов из приложений Telegram и KeePass; фишинговые страницы для кражи учетных данных Telegram и Android-бэкдор, похищающий 2FA-коды из SMS-сообщений и осуществляющий аудиозапись окружения телефона.

Исследователи впервые обнаружили кампанию Rampant Kitten через документ, название которого переводится как «Режим боится распространения революционных пушек». При открытии документа загружается шаблон документа с удаленного сервера (afalr-sharepoint [.] Com), который имитирует web-сайт некоммерческой организации, помогающей иранским диссидентам. Затем он загружает вредоносный код макроса, выполняющий пакетный сценарий для загрузки и выполнения полезной нагрузки следующего этапа. Данная полезная нагрузка проверяет, установлено ли приложение Telegram на системе жертвы. Если это так, она извлекает три исполняемых файла для хищения конфиденциальных данных.

В ходе расследования исследователи обнаружили вредоносное приложение для Android. Приложение предназначалось для помощи говорящим на персидском языке в Швеции в получении водительских прав. Как только жертва загружает приложение, бэкдор крадет SMS-сообщения и обходит 2FA, пересылая все SMS-сообщения, начинающееся с префикса G- (префикс кодов двухфакторной аутентификации Google) на номер телефона, контролируемый злоумышленником.